Servicios Tor mal configurados que usan certificados SSL exponen IP públicas

Escrito por Javier Jiménez

Como sabemos, Tor es conocido por ser un navegador centrado en la privacidad. Una de sus funciones principales es mantener la IP del usuario privada. Pueden navegar de forma anónima por la Red sin preocupaciones. Sin embargo, un grupo de investigadores ha encontrado que algunos sitios que utilizan certificados SSL mal configurados exponen la dirección IP de manera pública. Una problemática para los usuarios y que sin duda no cumplen con la función principal de este navegador. Por cierto, Tor Browser 8.0 ya está disponible, una última versión que trae algunas importantes novedades.  

Descubren que servicios Tor mal configurados que utilizan certificados SSL exponen IP

Lo ha descubierto Yonathan Klijnsma, investigador de RiskIQ. Afirma que algunos servidores de la Dark Web mal configurados son los principales responsables de que se filtren las direcciones IP de los usuarios.

Informa que este hecho puede tener graves consecuencias para quienes utilizan regularmente Tor y servicios similares. Afirma que son muchos los sitios que pueden exponer de manera pública la IP del usuario. Se trata de sitios Tor mal configurados y que utilizan certificados SSL.

Un servidor configurado de manera correcta alojado en Tor solamente necesita tener como puerto de escucha 127.0.0.1. Sin embargo aquellos mal configurados tienen su servidor local Apache o Nginx con puertos de escucha hacia otra dirección o 0.0.0.0.

En su twitter personal, Yonathan Klijnsma dijo que no estaba intentando atacar a Tor, sino simplemente informar de existe una diferencia entre configurar un puerto de escucha para un servidor como 0.0.0.0 frente a 127.0.0.1.

Esto ocurre obligatoriamente cuando no se usa un firewall. En circunstancias normales los servidores deberían escuchar 127.0.0.1. Klijnsma también explicó que estos servidores mal configurados se pueden identificar fácilmente. Descubrió estos servidores al examinar la Red y vincular los certificados SSL a sus direcciones IP alojadas. Pudo identificar los servicios Tor mal configurados y sus direcciones IP correspondientes.

IP públicas expuestas

Las conexiones Tor funcionan correctamente, pero también las externas

El investigador afirma que obviamente las conexiones Tor van a funcionar correctamente, pero también pueden hacerlo conexiones externas.

Una vez que un administrador de servicio oculto agrega un certificado SSL a un sitio web, el dominio .onion se agrega al certificado después de que el campo Nombre común del certificado informe la dirección .onion del servicio anónimo. Cuando un servidor está mal configurado para escuchar en una dirección IP pública, el certificado SSL asociado con el sitio web se utilizará para esa dirección.

Hay que mencionar que esta no ha sido la primera vez que se ha detectado que el navegador Tor ha filtrado direcciones IP. Ya hablamos anteriormente de una vulnerabilidad que expuso las direcciones IP de los usuarios.

En definitiva, han descubierto que algunos servicios de esta red utilizan certificados SSL mal configurados. Esto provoca que la IP de los usuarios se haga pública. Afecta, lógicamente, a la privacidad de quienes utilizan este navegador para preservar precisamente su privacidad. Un problema que no resulta una novedad, por otro lado, ya que anteriormente han pasado casos similares.

Fuente > HackRead

Continúa leyendo
  • Si configuras algo como 0.0.0.0 estás referenciando a cualquier red. Yo no se los “expertos” en seguridad de estas páginas a que se dedican. Esto si alguna de ellas no están configuradas así adrede y son honeypots del FBI. Cuidado porque la NSA/FBI/GHCQ están vigilando casi de manera constante Tor y no es broma.

    Salu2